Les entreprises, peu importe leur taille ou leur secteur d’activité, sont dorénavant la cible de menaces persistantes avancées (ou, en anglais, Advanced Persistent Threat – APT), dont le but est d’exfiltrer des informations qui seront revendues ensuite. La plus grande partie du modèle économique de la cybercriminalité repose sur ce constat : ce qui a de la valeur au sein d’une entreprise, ce sont les données. Ce qui semble évident lorsqu’il s’agit de données bancaires. Ces informations peuvent ensuite être revendues à des tiers (concurrents, organisations criminelles…) ou bien à leur propriétaire légitime, dans le cas typique du ransomware.
Les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que les précédentes, qui étaient généralement moins sophistiquées. Elles ont pour caractéristique d’être furtives et continues, ciblant une entité spécifique. Bien que n’étant pas complètement nouvelles (elles sont apparues dans les années 2000), ces pratiques nécessitent une approche différente pour s'en prémunir. La nouveauté fondamentale est qu'elles obligent à un constat alarmant au premier abord : il est impossible de garantir qu'aucun élément du système d'information ne sera jamais compromis. Par conséquent, considérer tout ou partie du système d’information comme une zone de confiance à protéger d’agressions extérieures n’est plus possible, y compris pour les infrastructures opérées en propre.
En quoi consistent plus précisément ces nouvelles menaces ? Le premier point important à comprendre est que la nouveauté ne réside pas dans les aspects purement technologiques de l'attaque. Ces nouvelles attaques mettent en œuvre et utilisent peu ou prou les mêmes outils que les attaques plus classiques : des virus, des vers, des chevaux de Troie, des exploitations de vulnérabilités connues ou non, etc. En revanche, ce qui change, c'est la méthode. Une attaque persistante avancée est architecturée comme un projet, et surtout, elle est ciblée et dispose de moyens. Elle est ciblée, en effet, contrairement aux attaques classiques lancées au hasard en espérant toucher quelques victimes et dont les taux de réussite sont assez faibles, les APT sont élaborées spécifiquement pour une seule victime, choisie et connue à l'avance. Ces attaques disposent également de moyens :
- moyens en temps, puisque l'objectif est la réussite de l'attaque, peu importe le temps passé pour y arriver ;
- moyens financiers, permettant de s'adjoindre les compétences de spécialistes du domaine, d'acheter des vulnérabilités non encore divulguées (les fameuses 0-day), de louer les services d'infrastructures malfaisantes permettant de réaliser certaines phases préliminaires de l'attaque (Botnet pour l'envoi de spams, ressources pour dénis de services, plates-formes de génération de code…).
Objets connectés
Mais ce qui rend ces attaques encore plus dangereuses, c’est l’évolution des usages. Car les méthodes et moyens d’attaque ne sont pas les seuls à changer. Avec la transformation numérique, c’est la surface d’attaque des entreprises, leur adhérence au numérique, l’incapacité globale et universelle à mener à bien les métiers de l’entreprise sans un système d’information fonctionnel et non compromis, qui augmentent encore de manière drastique l’impact des attaques, et qui amplifient le risque.
Aujourd’hui, les objets connectés s’invitent dans toutes sortes de métiers et d’environnements. De très nombreuses entreprises font appel à ces objets, ne serait-ce que pour collecter des informations, qui seront ensuite traitées dans des environnements de type Big Data. Malheureusement, ces objets connectés n’ont pas été pensés ni conçus avec la composante sécurité dès la conception (security by design) ; l’objectif étant plutôt de produire ces objets en masse à un coût le plus faible possible. Ils sont donc plutôt vulnérables par défaut et comme, de par leur utilisation, ils sont présents en grand nombre au sein du système d’information, ils augmentent de manière très significative la surface d’attaque.
Par ailleurs, concernant les applications bancaires utilisées par les clients pour accéder à leurs comptes et procéder à différents types d'opérations, leur utilisation ne change pas grand-chose pour les banques du point de vue de la stratégie de sécurité. En effet, même si les smartphones et/ou les tablettes constituent des équipements non sécurisés, ils ne le sont ni moins ni plus que n'importe quel équipement utilisé pour accéder à ces applications (ou aux versions en ligne un peu plus anciennes).
En parallèle, il est également important de souligner un point particulier qui contribue à rendre vulnérables les infrastructures et systèmes d’information, notamment bancaires : la gestion de l’obsolescence. Certains sous-ensembles ont des contraintes particulières d’homologation, de robustesse, de certification qui rendent très difficile, voire quasi impossible dans certains cas, de faire évoluer librement ces sous-ensembles, comme par exemple leur appliquer les correctifs de sécurité. Les DAB, par exemple, fonctionnent encore en grande partie sous Windows XP, une version obsolète qui n’est plus supportée par Microsoft.
Vision stratégique
Face aux APT, les défenses traditionnelles de sécurité IT (pare-feu stateful traditionnels, IDS…) sont obsolètes et désormais inadéquates, et les banques ont évolué vers des contre-mesures plus efficaces (pare-feu de nouvelle génération, IPS en mode bloquant, sandboxing, anti-malware, protection des messageries). Il est de plus en plus urgent pour les organisations de reconnaître et d’accepter les risques réels posés par ces menaces avancées et d’adopter une approche multicouche plus moderne et intelligente pour aider à la détection et la résolution des menaces. Le sandboxing, technique utilisée pour détecter et isoler les logiciels malveillants dans un environnement virtuel, sans risquer de voir ce code malveillant infecter le système, est un des outils clés dans cette approche. Mais, au-delà de cette technologie, c’est bien l’approche cybersécurité tout entière qu’il faut repenser afin de la rendre plus intelligente, auto-adaptative et automatisée. Aucune technologie de contre-mesure, quelle qu’elle soit, ne peut permettre de se prémunir de tous les risques et de tous les types d’attaques. C’est un ensemble de fonctions, collaborant ensemble, qui vont permettre d’atteindre l’objectif de protection. Par exemple, la solution de sandboxing va, suite à l’identification d’une menace, non seulement répondre sur le niveau de risque du fichier qui lui a été soumis, mais générer automatiquement une signature anti-malware adaptée qu’elle va diffuser à tous les points de filtrage (passerelles, messagerie, pare-feu de nouvelle génération, poste de travail…) permettant ainsi très rapidement de mettre en œuvre automatiquement des mécanismes de segmentation et de confinement.
Nous voyons ici qu’il s’agit bien d’un écosystème de sécurité qu’il faut déployer, disposant d’une cohérence, d’une cohésion et d’une synergie automatisée entre toutes les fonctions afin d’élever le niveau global de la sécurité et d’apporter au final plus d’intelligence à l’architecture et l’infrastructure de sécurité. La définition de la politique et de la posture de sécurité reste quant à elle de la responsabilité des
